30 मार्च 2025·8 मिनट
Graydon Hoare और Rust: मेमोरी-सुरक्षित सिस्टम प्रोग्रामिंग में बदलाव
Graydon Hoare के 2006 के प्रयोग से लेकर आज के Rust इकोसिस्टम तक: बिना गारबेज कलेक्टर के मेमोरी सुरक्षा ने सिस्टम प्रोग्रामिंग की अपेक्षाएँ कैसे बदलीं, जानें।
यह कहानी क्या बताती है (और क्या नहीं)
यह लेख एक केन्द्रित उत्पत्ति-कथा बताता है: कैसे Graydon Hoare के व्यक्तिगत प्रयोग ने Rust का रूप लिया, और Rust के डिज़ाइन चुनाव सिस्टम प्रोग्रामिंग की अपेक्षाओं को क्यों बदलने के लिए पर्याप्त मायने रखते थे।
"सिस्टम प्रोग्रामिंग" से हमारा मतलब
“सिस्टम प्रोग्रामिंग” मशीन के निकट और आपके उत्पाद के जोखिम के पास बैठती है। यह ब्राउज़रों, गेम इंजनों, ऑपरेटिंग सिस्टम घटकों, डेटाबेस, नेटवर्किंग, और एम्बेडेड सॉफ़्टवेयर में दिखती है—ऐसी जगहें जहाँ आमतौर पर आपको चाहिए:\n\n- उच्च प्रदर्शन (काम तेज़ और पूर्वानुमेय होना चाहिए)\n- निम्न-स्तरीय नियंत्रण (मेमोरी आवंटन, थ्रेडिंग, डेटा लेआउट)\n- भरोसेमंदता (क्रैश और सुरक्षा बग महंगे होते हैं)\n ऐतिहासिक रूप से, यह संयोजन टीमों को C और C++ की ओर धकेलता रहा—और व्यापक नियमों, रिव्यू और टूलिंग पर निर्भर रहना पड़ा ताकि मेमोरी-संबंधी बग घटें।
वह मूल वादा जिसे हम खोलेंगे
Rust का हेडलाइन वादा बोलने में सरल और पूरा करने में कठिन है:
गैर-गैरबीज़ कलेक्टर के साथ मेमोरी सुरक्षा।
Rust आमबात की विफलताओं को रोकने का लक्ष्य रखता है—जैसे use-after-free, double-free, और कई तरह के डेटा रेस—बिना उस रनटाइम पर निर्भर हुए जो प्रोग्राम को रोककर मेमोरी वापस लेता है। इसके बजाय, Rust स्वामित्व और बोरिंग के ज़रिये कम्पाइल-टाइम पर बहुत काम शिफ्ट करता है।
क्या शामिल है—और क्या नहीं
आपको इतिहास मिलेगा (शुरूआती विचारों से लेकर Mozilla की संलिप्ति तक) और प्रमुख अवधारणाएँ (ownership, borrowing, lifetimes, safe बनाम unsafe) सरल भाषा में समझाई जाएँगी।
जो नहीं मिलेगा: Rust का पूरा ट्यूटोरियल, पूरी सिंटेक्स की सैर, या स्टेप-बाय-स्टेप प्रोजेक्ट सेटअप। इसे Rust के डिज़ाइन के "क्यों" के रूप में सोचें, पर्याप्त उदाहरणों के साथ ताकि विचार ठोस हो जाएँ।
लेखक टिप्पणी: पूरा लेख ~3,000 शब्द लक्षित करता है, ताकि संक्षिप्त उदाहरणों के लिए जगह रहे बिना यह संदर्भ मैन्युअल बन जाए।
Graydon Hoare का शुरूआती प्रयोग जो Rust बना
Rust किसी समिति-निर्धारित "अगला C++" के रूप में शुरू नहीं हुआ। यह 2006 में Graydon Hoare के व्यक्तिगत प्रयोग के रूप में शुरू हुआ—ऐसा काम जो उसने स्वतंत्र रूप से किया, तब तक जब तक इसने व्यापक ध्यान नहीं खींचा। यह उत्पत्ति मायने रखती है: शुरुआती कई डिज़ाइन निर्णय रोज़मर्रा की परेशानियों को हल करने के रूप में पढ़ते हैं, न कि केवल भाषा सिद्धांत जीतने के लिए।
शुरुआती प्रेरणा: निम्न-स्तरीय शक्ति, कम फ़ुट-गन
Hoare यह खोज रहे थे कि बिना गारबेज कलेक्शन के लो-लेवल, उच्च-प्रदर्शन सॉफ़्टवेयर कैसे लिखा जाए—और साथ ही C और C++ में सबसे सामान्य क्रैश और सुरक्षा बगों से कैसे बचा जाए। टेंशन सिस्टम प्रोग्रामरों के लिए परिचित है:
- आप गति के लिए मेमोरी और लेआउट पर सीधे नियंत्रण चाहते हैं।
- आप व्यावहारिक सुरक्षा चाहते हैं ताकि गलतियाँ गुप्त रूप से कमज़ोरी न बन जायें।
- आप समवर्तीपन (concurrency) चाहते हैं जो उपयोग करने योग्य हो, क्योंकि आधुनिक प्रदर्शन अक्सर कई थ्रेड्स का मतलब होता है।
Rust की “मेमोरी सुरक्षा बिना GC” दिशा पहले मार्केटिंग टैगलाइन नहीं थी। यह एक डिज़ाइन लक्ष्य था: सिस्टम कार्य के लिए उपयुक्त प्रदर्शन विशेषताओं को बनाए रखें, पर कई मेमोरी-बग श्रेणियों को व्यक्त करना कठिन बना दें।
नई भाषा क्यों (सिर्फ बेहतर टूल क्यों नहीं)
यह पूछना तर्कसंगत है कि यह "सिर्फ C/C++ के लिए बेहतर कम्पाइलर" क्यों नहीं था। स्टैटिक विश्लेषण, सैनिटाइज़र और सुरक्षित लाइब्रेरी बहुत समस्याएँ रोकते हैं, पर वे सामान्यतः गैर-गारंटी देते हैं। नीचे की भाषाएँ ऐसे पैटर्न की अनुमति देती हैं जिन्हें बाहर से पूरी तरह पालिसी करना मुश्किल हो जाता है।
Rust का दांव था कि मुख्य नियमों को भाषा और टाइप सिस्टम में डाल दें ताकि सुरक्षा एक डिफ़ॉल्ट परिणाम बन जाए, जबकि स्पष्ट रूप से चिह्नित एस्केप हैच भी रहें।
कहानी को जमीन पर रखना: तथ्य बनाम किंवदंती
Rust के शुरुआती दिनों के बारे में कुछ विवरण अफ़साने के रूप में घूमते हैं (अक्सर टॉक्स और इंटरव्यू में दोहराए जाते हैं)। इस उत्पत्ति-कथा को बताते समय विस्तृत रूप से प्रलेखित मील के पत्थरों—जैसे 2006 की शुरूआत और बाद में Mozilla Research में अपनाए जाने—को व्यक्तिगत यादों और द्वितीयक कथनों से अलग करना मददगार होता है।
प्राथमिक स्रोतों के लिए शुरुआती Rust डॉक्युमेंटेशन और डिज़ाइन नोट्स, Graydon Hoare के टॉक्स/इंटरव्यू, और Mozilla/Servo-युग के पोस्ट देखें जो बताते हैं कि प्रोजेक्ट क्यों अपनाया गया और उसके लक्ष्य कैसे framed थे। एक ठोस "आगे पढ़ें" सेक्शन पाठकों को उन मूल लेखों तक ले जा सकता है (देखें /blog संबंधित लिंक्स के लिए)।
सिस्टम प्रोग्रामिंग की समस्या: तेज़ कोड, नाज़ुक मेमोरी
सिस्टम प्रोग्रामिंग अक्सर हार्डवेयर के पास काम करने का मतलब रखती है। यही नज़दीकीपन कोड को तेज़ और संसाधन-कुशल बनाता है। यही चीज़ मेमोरी गलतियों को इतनी सख्त बनाती है।
आम अपराधी: मेमोरी बग
कई क्लासिक बग बार-बार दिखाई देते हैं:
- Use-after-free: प्रोग्राम उस मेमोरी का उपयोग जारी रखता है जो पहले ही रिलीज़ हो चुकी है, जैसे आपने एक नोटपैड फेंक दिया और फिर उस पर लिखने लगे।
- Double free: मेमोरी दो बार रिलीज़ हो जाती है, जो अलोकेटर को भ्रमित कर सकती है और शोषण के दरवाज़े खोल सकती है।
- Buffer overflow: डेटा आवंटित क्षेत्र के पार फैल जाता है, संभावित रूप से पास के डेटा या कंट्रोल फ़्लो को भ्रष्ट कर देता है।
ये त्रुटियाँ हमेशा स्पष्ट नहीं होतीं। एक प्रोग्राम हफ्तों तक "काम" कर सकता है, फिर किसी दुर्लभ इनपुट या टाइमिंग पैटर्न पर क्रैश कर सकता है।
क्यों टेस्टिंग आपकी रक्षा नहीं करती
टेस्टिंग उन मामलों के लिए साबित करती है जिन्हें आपने आज़माया। मेमोरी बग अक्सर उन मामलों में छिपे रहते हैं जिन्हें आपने नहीं आज़माया: असामान्य इनपुट, अलग हार्डवेयर, टाइमिंग में छोटे बदलाव, या नए कम्पाइलर वर्शन। वे गैर-निर्धारित भी हो सकते हैं—खासकर मल्टी-थ्रेडेड प्रोग्राम्स में—तो बग गायब हो सकता है जब आप लॉगिंग जोड़ते हैं या डिबगर अटैच करते हैं।
वास्तविक लागत: सुरक्षा, स्थिरता, समय
जब मेमोरी गलत होती है, आपको सिर्फ़ एक साफ़ त्रुटि नहीं मिलती। आपको भ्रष्ट स्थिति, अप्रत्याशित क्रैश, और सुरक्षा कमजोरियाँ मिलती हैं जिन्हें हमलावर सक्रिय रूप से खोजते हैं। टीमें ऐसे परिदृश्यों का पीछा करने में बहुत समय बिताती हैं जो पुनरुत्पादन में कठिन और निदान में और भी कठिन होते हैं।
गति बनाम सुरक्षा: मूल तनाव
लो-लेवल सॉफ़्टवेयर हमेशा भारी रनटाइम जाँचों या निरंतर मेमोरी स्कैनिंग की "कीमत" नहीं चुका सकता। लक्ष्य कुछ ऐसा है जैसे किसी साझा कार्यशाला से औज़ार उधार लेना: आप इसे स्वतंत्र रूप से उपयोग कर सकते हैं, पर नियम स्पष्ट होने चाहिए—कौन उसे रखता है, कौन साझा कर सकता है, और कब वापस करना है। परंपरागत सिस्टम भाषाएँ उन नियमों को मानवीय अनुशासन पर छोड़ देती हैं। Rust की उत्पत्ति-कथा इसी व्यापार-बंद का सवाल करती है।
क्यों "बिना GC के मेमोरी सुरक्षा" बड़ा मामला था
गारबेज कलेक्शन (GC) भाषाएँ मेमोरी बग रोकने का एक आम तरीका है। रनटाइम यह ट्रैक करता है कि कौन से ऑब्जेक्ट्स पहुँच योग्य हैं और बाकी को स्वतः पुनःप्राप्त करता है। यह पूरे श्रेणियों की समस्याएँ समाप्त कर देता है—use-after-free, double free और कई लीक—क्योंकि प्रोग्राम "भूल" नहीं सकता जैसा मैन्युअल क्लीनअप में होता है।
सिस्टम-योग्य कोड में GC के ट्रेडऑफ
GC "बुरा" नहीं है, पर यह प्रोग्राम के प्रदर्शन प्रोफ़ाइल को बदल देता है। अधिकांश कलेक्टर कुछ संयोजन लाते हैं:
- पॉज़ टाइम्स (भले ही छोटे हों), जो स्टटर के रूप में दिख सकते हैं\n- रनटाइम ओवरहेड आवंटनों और पहुंचयोग्यता को ट्रैक करने के लिए\n- कम पूर्वानुमेय लेटेंसी, क्योंकि कलेक्शन का काम रनटाइम तय करता है
कई एप्लिकेशन—वेब बैकएंड, बिज़नेस सॉफ़्टवेयर, टूलिंग—में ये लागतें स्वीकार्य हैं। आधुनिक GC बेहतरीन हैं और डेवलपर्स की उत्पादकता बढ़ाते हैं।
जहाँ पूर्वानुमेयता मायने रखती है
सिस्टम प्रोग्रामिंग में worst-case अक्सर सबसे ज़्यादा मायने रखता है। ब्राउज़र इंजन को स्मूद रेंडरिंग चाहिए; एम्बेडेड कंट्रोलर के कड़े टाइमिंग कॉन्स्ट्रेंट हो सकते हैं; लो-लेटेंसी सर्वर को टेल लेटेंसी को कसा रखना पड़ता है। इन वातावरणों में "आम तौर पर तेज़" अक्सर "सतत पूर्वानुमेय" से कम मूल्यवान होता है।
Rust की पेशकश: नियंत्रण के साथ सुरक्षा
Rust का बड़ा वादा था: C/C++-समान नियंत्रण रखें, पर गैर-गैरबीज़ कलेक्टर पर निर्भर किए बिना मेमोरी सुरक्षा दें। लक्ष्य है पूर्वानुमेय प्रदर्शन के गुण—और साथ ही अधिकांश स्थितियों में सुरक्षित कोड को डिफ़ॉल्ट बनाना।
यह तर्क नहीं है कि GC खराब है; यह दांव है कि एक महत्वपूर्ण मध्यभूमि है: सॉफ़्टवेयर जिसे निम्न-स्तरीय नियंत्रण और आधुनिक सुरक्षा दोनों चाहिए।
Ownership: Rust सुरक्षा के पीछे का मुख्य विचार
Ownership Rust का सबसे सरल बड़ा विचार है: हर मान का एक अकेला मालिक होता है जो यह तय करता है कि जब वह आवश्यक नहीं रहेगा तो उसे साफ़ किया जाए।
यह नियम बहुत सारे मैनुअल "कौन इसे फ़्री करेगा?" बुककीपिंग को बदल देता है जो C और C++ प्रोग्रामर अक्सर अपने दिमाग में रखते हैं। Rust cleanup को अनुमाननीय बनाता है।
Moves बनाम Copies (साधारण भाषा में)
जब आप कुछ कॉपी करते हैं, तो आपके पास दो स्वतंत्र प्रतियाँ आती हैं। जब आप कुछ मूव करते हैं, आप मूल को हांथ में सौंप देते हैं—मूव के बाद पुराना वेरिएबल उसका उपयोग नहीं कर सकता।
Rust कई heap-आधारित मानों (जैसे स्ट्रिंग्स, बफ़र, वेक्टर) को डिफ़ॉल्ट रूप से मूव के रूप में मानता है। इन्हें अंधाधुंध कॉपी करना महंगा और भ्रमित करने वाला हो सकता है: यदि दो वेरिएबल एक ही आवंटन को "स्वामित्व" समझने लगें, तो आपने मेमोरी बग के लिए जगह बना ली है।
यहाँ विचार छोटा पीज़ो-कोड में:
buffer = make_buffer()
ownerA = buffer // ownerA owns it
ownerB = ownerA // move ownership to ownerB
use(ownerA) // not allowed: ownerA no longer owns anything
use(ownerB) // ok
// when ownerB ends, buffer is cleaned up automatically
भुगतान: गारबेज कलेक्टर के बिना क्लीनअप
क्योंकि हमेशा ठीक एक मालिक होता है, Rust जानता है कि किसी मान को कब साफ़ किया जाना चाहिए: जब उसका मालिक स्कोप से बाहर जाता है। इसका मतलब है स्वचालित मेमोरी प्रबंधन (आप हर जगह free() नहीं बुलाते) बिना रनटाइम गारबेज कलेक्टर के।
व्यवहार में यह क्या रोकता है
यह ownership नियम क्लासिक समस्याओं की एक बड़ी श्रेणी को रोकता है:
- Double-free: दो "मालिक" दोनों एक ही मेमोरी को फ़्री करने की कोशिश करते हैं।
- Use-after-free: कोड किसी पॉइंटर का उपयोग जारी रखता है जबकि मेमोरी पहले ही रिलीज़ हो चुकी है।
Rust का ownership मॉडल केवल सुरक्षित आदतों को प्रोत्साहित नहीं करता—यह कई unsafe राज्यों को अपरिधेय बनाता है, और यही वह बुनियाद है जिस पर Rust की बाकी सुरक्षा सुविधाएँ टिकती हैं।
Borrowing, Lifetimes, और Borrow Checker
कोड लिखने से पहले योजना बनाएं
Planning Mode का उपयोग करके पहले पेज, एंडपॉइंट और डेटा की रूपरेखा बनाएं, फिर कोड जेनरेट करें।
Ownership यह बताता है कि कौन किसी मान का "मालिक" है। Borrowing यह बताता है कि प्रोग्राम के अन्य हिस्से उस मान का अस्थायी उपयोग कैसे कर सकते हैं बिना उसे ले लिए।
Borrowing: स्वामित्व के बिना पहुँच
जब आप Rust में कुछ borrow करते हैं, तो आप उसे एक रेफरेंस के रूप में पाते हैं। मूल मालिक मेमोरी को साफ़ करने का उत्तरदायी बना रहता है; borrower केवल कुछ समय के लिए उसे उपयोग करने की अनुमति पाता है।
Rust में दो तरह के borrows होते हैं:
- Shared borrow (
&T): केवल पढ़ने की पहुँच। - Mutable borrow (
&mut T): पढ़ने-लिखने दोनों की पहुँच।
मुख्य नियम: कई पाठक या एक लेखक
Rust का केंद्रीय borrowing नियम कहना आसान और व्यवहार में शक्तिशाली है:
- आप एक ही समय में कई shared रेफरेंसेज़ रख सकते हैं, या\n- आप एक mutable रेफरेंस रख सकते हैं,\n- पर दोनों एक साथ नहीं।
यह नियम एक आम बग श्रेणी को रोकता है: प्रोग्राम का एक हिस्सा डेटा पढ़ रहा है जबकि दूसरा हिस्सा उसे उसी समय बदल रहा हो।
Lifetimes: "यह रेफरेंस कितनी देर वैध है?"
एक रेफरेंस केवल तब सुरक्षित है जब वह कभी भी उस चीज़ से लंबा न रहे जिस पर वह इशारा करता है। Rust इसे lifetime कहता है—उस समय-सीमा का स्पैन जब रेफरेंस वैध रहने की गारंटी रहती है।
इस विचार का प्रयोग करने के लिए आपको औपचारिकता की ज़रूरत नहीं है: एक रेफरेंस उसके मालिक के चले जाने के बाद मौजूद नहीं रह सकता।
Borrow checker: प्रोग्राम चलने से पहले सुरक्षा
Rust इन नियमों को कम्पाइल टाइम पर borrow checker के ज़रिये लागू करता है। खराब रेफरेंस या जोखिमपूर्ण म्यूटेशन पर भरोसा करने के बजाय, Rust ऐसे कोड को बनाना ही मना कर देता है जो मेमोरी का गलत उपयोग कर सके।
एक संबंधित उदाहरण
एक साझा दस्तावेज़ की कल्पना करें:
- यदि कई लोग उसे देख रहे हैं, तो वह shared borrows जैसा है: सुरक्षित क्योंकि कोई बदल नहीं रहा।\n- यदि एक व्यक्ति उसे संपादित कर रहा है, तो वह mutable borrow जैसा है: सुरक्षित क्योंकि एक ही स्रोत है।\n- किसी को संपादन करते हुए दूसरे लोगों को पढ़ने देना आधा-ख़तम बदलाव दिखा सकता है—Rust इसे डिज़ाइन के द्वारा रोकता है।
समवर्तीपन के लिए सुरक्षा: डिज़ाइन द्वारा डेटा रेस रोकना
समवर्तीपन वह जगह है जहाँ "यह मेरे मशीन पर काम करता है" बग छिप जाते हैं। जब दो थ्रेड्स एक साथ चलते हैं, तो वे चौंकाने वाले तरीकों से इंटरैक्ट कर सकते हैं—खासकर जब वे डेटा साझा करते हैं।
डेटा रेस क्या है (और यह ख़तरनाक क्यों है)
एक डेटा रेस तब होती है जब:\n\n- दो या अधिक थ्रेड्स एक ही मेमोरी को एक साथ एक्सेस करते हैं,\n- कम से कम एक एक्सेस लेखन है, और\n- नियंत्रण (जैसे लॉक) नहीं है।\n परिणाम केवल "गलत आउटपुट" नहीं होता; डेटा रेस राज्य को भ्रष्ट कर सकती है, प्रोग्राम क्रैश करवा सकती है, या सुरक्षा कमजोरियाँ पैदा कर सकती है। और यह अंतरालिक भी हो सकता है: लॉगिंग जोड़ने पर या डिबगर में रन करने पर बग गायब हो सकता है।
Rust का दांव: जोखिम भरी चीज़ों को डिफ़ॉल्ट रूप से कठिन बनाना
Rust एक असामान्य दांव लगाता है: हर बार हर प्रोग्रामर पर भरोसा करने के बजाय, यह कई असुरक्षित समवर्ती पैटर्नों को safe कोड में अप्रतिनिधेय बनाने की कोशिश करता है।
ऊपर के स्तर पर, Rust के ownership और borrowing नियम सिंगल-थ्रेडेड कोड पर ही नहीं रुकते—वे यह भी तय करते हैं कि आप थ्रेड्स के बीच क्या साझा कर सकते हैं। यदि कम्पाइलर यह साबित नहीं कर सकता कि साझा पहुँच समन्वित है, तो वह कोड का कम्पाइल होने नहीं देगा।
यही लोग "Rust में सुरक्षित समवर्तीपन" से आशय करते हैं: आप अभी भी समवर्ती प्रोग्राम लिखते हैं, पर "ओहपाल, दो थ्रेड्स ने एक ही चीज़ लिख दी" जैसी गलतियों की एक पूरी श्रेणी प्रोग्राम रन होने से पहले पकड़ी जाती है।
उदाहरण: एक ही डेटा को दो थ्रेड्स अपडेट कर रहे हैं
सोचिए दो थ्रेड्स एक ही काउंटर को इन्क्रीमेंट कर रहे हैं:
- कई भाषाओं में आप एक साझा रेफरेंस/पॉइंटर दोनों थ्रेड्स को दे देंगे।\n- यदि दोनों एक साथ लिखते हैं, तो काउंटर में अपडेट्स खो सकते हैं या राज्य भ्रष्ट हो सकता है।
Rust में आप सुरक्षित कोड में एक ही मान के लिए बस ऐसा mutable एक्सेस कई थ्रेड्स को नहीं दे सकते। कम्पाइलर आपको अपनी मंशा स्पष्ट करने के लिए मजबूर करता है—आम तौर पर आप साझा राज्य को लॉक के पीछे रखते हुए या मैसेज-पासिंग का उपयोग करके समन्वय कर रहे हों।
निम्न-स्तरीय नियंत्रण अभी भी मौजूद है—स्पष्ट रूप से चिह्नित
Rust लो-लेवल समवर्ती हेरफेरों को निषिद्ध नहीं करता। यह उन्हें क्वारंटीन करता है। यदि आप सचमुच कुछ ऐसा करना चाहते हैं जिसे कम्पाइलर सामान्यतः सत्यापित नहीं कर सकता, आप unsafe ब्लॉक्स का उपयोग कर सकते हैं, जो चेतावनी लेबल की तरह होते हैं: "यहाँ मानवीय ज़िम्मेदारी आवश्यक है।" यह पृथक्करण कोडबेस के अधिकांश हिस्से को सुरक्षित सब-सेट में रखता है, जबकि सिस्टम-स्तरीय शक्ति जहाँ जरूरी हो वहाँ बनी रहती है।
Rust कहाँ रेखा खींचता है: Safe बनाम Unsafe कोड
अपने डोमेन पर लॉन्च करें
शेयर करने के लिए तैयार होने पर अपने ऐप को कस्टम डोमेन पर लॉन्च करें।
Rust की सुरक्षा की ख्याति पूर्णतया सर्वज्ञानी नहीं लग सकती, पर सटीक बात यह है कि Rust "सुरक्षित" और "अनसुरक्षित" प्रोग्रामिंग के बीच की सीमा स्पष्ट कर देता है—और ऑडिट करना आसान बनाता है।
Safe Rust: डिफ़ॉल्ट
ज़्यादातर Rust कोड "safe Rust" होता है। यहाँ कम्पाइलर नियम लागू करता है जो सामान्य मेमोरी बगों को रोकते हैं: use-after-free, double free, dangling pointers, और डेटा रेस। आप अभी भी तार्किक त्रुटियाँ कर सकते हैं, पर सामान्य भाषा सुविधाओं के ज़रिये आप आकस्मिक रूप से मेमोरी सुरक्षा को तोड़ नहीं सकते।
एक महत्वपूर्ण बिंदु: safe Rust "धीमा Rust" नहीं है। कई उच्च-प्रदर्शन प्रोग्राम पूर्णतः safe Rust में लिखे गए हैं क्योंकि एक बार कम्पाइलर नियमों पर भरोसा कर सकता है, वह आक्रामक रूप से ऑप्टिमाइज़ कर सकता है।
Unsafe Rust: स्पष्ट एस्केप हैच
"Unsafe" मौजूद है क्योंकि सिस्टम प्रोग्रामिंग कभी-कभी ऐसी क्षमताएँ मांगती है जिन्हें कम्पाइलर सामान्यतः सुरक्षित साबित नहीं कर सकता। आम कारणों में शामिल हैं:
- FFI (foreign function interfaces): C/C++ लाइब्रेरी कॉल करना या उनसे कॉल होना।\n- लो-लेवल ऑपरेशंस: हार्डवेयर, मेमोरी-मैप्ड IO, या OS APIs से इंटरेक्ट करना।\n- प्रदर्शन-आवश्यक विशेष मामले: डाटा स्ट्रक्चर्स, अलोकेटर्स, या समवर्ती प्रिमिटिव्स को लागू करना जहाँ आपको मैन्युअल रूप से इनवेरिएंट बरक़रार रखना पड़ता है।
unsafe का उपयोग सभी जाँचों को बंद नहीं करता—यह केवल कुछ कार्यों (जैसे रॉ पॉइंटर्स को डिरेफ़रेंस करना) की इजाज़त देता है जो सामान्यतः मना होते हैं।
सीमाएँ जिन्हें आप नियंत्रित कर सकते हैं
Rust आपसे unsafe ब्लॉक्स और unsafe फ़ंक्शंस को चिह्नित करवाता है, जिससे जोखिम code review में दिखता है। एक सामान्य पैटर्न है एक छोटा "unsafe कोर" रखना जिसे एक safe API में लपेट दिया जाए, ताकि प्रोग्राम का अधिकांश भाग safe Rust में रहे जबकि एक छोटा, पर परिभाषित हिस्सा आवश्यक इनवेरिएंट बनाए रखे।
व्यावहारिक मार्गदर्शन
unsafe को एक पावर टूल की तरह ट्रीट करें:\n\n- unsafe ब्लॉक्स को छोटा और स्थानीय रखें।\n- स्पष्ट टिप्पणियाँ लिखें जो सुरक्षा धारणाओं को बताएं।\n- unsafe परिवर्तनों के लिए अतिरिक्त समीक्षा मांगे।\n- टेस्ट जोड़ें, जिनमें एज केस के लिए स्ट्रेस टेस्ट शामिल हों।
अच्छे से किया जाए तो unsafe Rust उन सिस्टम-प्रोग्रामिंग हिस्सों के लिए नियंत्रित इंटरफ़ेस बन जाता है जिन्हें अब भी मैन्युअल सूक्ष्मता चाहिए—और पूरी बेस पर Rust के सुरक्षा लाभ बने रहते हैं।
Mozilla, Servo, और प्रयोग से इकोसिस्टम तक का परिवर्तन
Rust "वास्तविक" इसलिए बना क्योंकि इसके पास कागज़ पर अच्छे विचार थे—बल्कि इसलिए कि Mozilla ने उन विचारों को कड़ी परख में रखा।
Mozilla को क्यों परवाह थी
Mozilla Research प्रदर्शन-आवश्यक ब्राउज़र घटकों को कम सुरक्षा बगों के साथ बनाने के तरीके खोज रहा था। ब्राउज़र इंजन जटिल होते हैं: वे अनट्रस्टेड इनपुट पार्स करते हैं, बड़ी मात्रा में मेमोरी मैनेज करते हैं, और बहुत समवर्ती वर्कलोड चलाते हैं। यह संयोजन मेमोरी-सुरक्षा दोषों और रेस कंडीशनों को सामान्य और महँगा बनाता है।
Rust का समर्थन उस लक्ष्य के साथ मेल खाता: सिस्टम प्रोग्रामिंग की गति बनाए रखें और साथ ही विशिष्ट प्रकार की कमजोरियाँ घटाएँ। Mozilla की भागीदारी ने यह भी संकेत दिया कि Rust केवल Graydon Hoare का निजी प्रयोग नहीं था, बल्कि ऐसी भाषा थी जिसे दुनिया की सबसे कठिन कोडबेस में परखा जा सकता था।
Servo: एक परीक्षणभूमि, सिर्फ़ डेमो नहीं
Servo—प्रायोगिक ब्राउज़र इंजन प्रोजेक्ट—Rust को बड़े पैमाने पर आज़माने के लिए एक उच्च-प्रोफ़ाइल जगह बन गया। उद्देश्य ब्राउज़र बाजार जीतना नहीं था। Servo एक लैब की तरह काम किया जहाँ भाषा सुविधाओं, कम्पाइलर डायग्नोस्टिक्स, और टूलिंग का वास्तविक प्रतिबन्धों के साथ मूल्यांकन हुआ: बिल्ड टाइम, क्रॉस-प्लेटफ़ॉर्म समर्थन, डेवलपर अनुभव, प्रदर्शन ट्यूनिंग, और समानांतरता के तहत करेक्टनेस।
इतना ही नहीं, Servo ने भाषा के इकोसिस्टम को आकार दिया: लाइब्रेरीज़, बिल्ड टूलिंग, कन्वेंशंस और डिबगिंग प्रैक्टिस—वे सब चीजें जो खिलौना प्रोग्रामों से आगे जाने पर मायने रखती हैं।
प्रतिक्रिया-लूप जिसने Rust को आकार दिया
वास्तविक प्रोजेक्ट्स ऐसे फीडबैक लूप बनाते हैं जो भाषा डिज़ाइन नक़ल नहीं कर सकता। जब इंजीनियर रुकावट पर आते हैं—अस्पष्ट त्रुटि संदेश, गायब लाइब्रेरी पीस, अजीब पैटर्न—तो वे दर्द स्त्रोत जल्दी दिखते हैं। समय के साथ, यह लगातार दबाव Rust को एक वादे की भाषा से लेकर उस चीज़ तक लाया जिससे टीमें बड़े प्रदर्शन-आवश्यक सॉफ़्टवेयर के लिए भरोसा कर सकें।
यदि आप इस चरण के बाद Rust के व्यापक विकास को देखना चाहते हैं, तो देखें /blog/rust-memory-safety-without-gc।
Rust की तुलना C, C++, और GC भाषाओं से
Rust एक मध्यभूमि में बैठता है: यह C और C++ से मिलने वाले प्रदर्शन और नियंत्रण के लिए लक्ष्य रखता है, पर उन बगों की एक बड़ी श्रेणी को हटाने की कोशिश करता है जिन्हें वे भाषाएँ अक्सर अनुशासन, परीक्षण और किस्मत पर छोड़ देती हैं।
Rust बनाम C/C++: मैनुअल मेमोरी बनाम जाँची हुई नियम
C और C++ में डेवलपर्स सीधे मेमोरी प्रबंधित करते हैं—ऑलॉकेट, फ़्री, और यह सुनिश्चित करना कि पॉइंटर्स वैध रहें। वह स्वतंत्रता शक्तिशाली है, पर use-after-free, double-free, buffer overflows और सूक्ष्म लाइफटाइम बग बनाना भी आसान है। कम्पाइलर सामान्यतः आप पर भरोसा करता है।
Rust ने उस रिश्ते को उलट दिया। आप अभी भी निम्न-स्तरीय नियंत्रण पाते हैं (स्टैक बनाम हीप निर्णय, पूर्वानुमेय लेआउट), पर कम्पाइलर उन नियमों को लागू करता है कि कौन मान का मालिक है और रेफरेंसेज़ कितनी देर तक रह सकते हैं। "पॉइंटर के साथ सावधान रहें" कहने के बजाय Rust कहता है "कम्पाइलर को सुरक्षा प्रमाणित करो," और वह ऐसे कोड को कम्पाइल नहीं होने देगा जो सुरक्षित Rust में उन गारंटी को तोड़ सके।
Rust बनाम GC भाषाएँ: पूर्वानुमेयता और नियंत्रण बनाम सुविधा
गारबेज-कलेक्टेड भाषाएँ (जैसे Java, Go, C#, या कई स्क्रिप्टिंग भाषाएँ) मैन्युअल मेमोरी प्रबंधन को सुविधा के लिए trade off करती हैं: ऑब्जेक्ट्स स्वतः मुक्त हो जाते हैं जब वे पहुँचयोग्य नहीं रहते। यह उत्पादकता को बढ़ा सकता है।
Rust का वादा—"गैर-गैरबीज़ कलेक्टर के साथ मेमोरी सुरक्षा"—इसका मतलब है कि आप एक रनटाइम GC के लिए कीमत नहीं चुकाते, जो तब मदद करता है जब आपको लेटेंसी, मेमोरी फुटप्रिंट, स्टार्टअप समय पर कड़ा नियंत्रण चाहिए। ट्रेडऑफ यह है कि आप ownership को स्पष्ट रूप से मॉडल करते हैं और कम्पाइलर उसे लागू करता है।
सीखने की वक्र (और क्यों है)
Rust शुरू में कठिन लग सकता है क्योंकि यह एक नया मानसिक मॉडल सिखाता है: आप ownership, borrowing, और lifetimes के हिसाब से सोचते हैं, न कि सिर्फ़ "एक पॉइंटर पास करो और उम्मीद करो कि ठीक रहेगा"। शुरुआती घर्षण अक्सर साझा राज्य या जटिल ऑब्जेक्ट ग्राफ़ को मॉडल करने में आता है।
किसे सबसे ज़्यादा लाभ होता है (और किसे नहीं)
Rust उन टीमों के लिए चमकता है जो सुरक्षा-संवेदनशील और प्रदर्शन-आवश्यक सॉफ़्टवेयर बनाती हैं—ब्राउज़र, नेटवर्किंग, क्रिप्टोग्राफी, एम्बेडेड, और कड़े विश्वसनीयता वाले बैकएंड। अगर आपकी टीम सबसे तेज़ इटरेशन को प्राथमिकता देती है न कि निम्न-स्तरीय नियंत्रण, तो GC भाषा बेहतर फिट हो सकती है।
Rust सार्वभौमिक प्रतिस्थापन नहीं है; यह एक मजबूत विकल्प है जब आप C/C++-स्तरीय प्रदर्शन चाहते हैं पर उन सुरक्षा गारंटियों के साथ जिन पर आप आश्रित रह सकें।
Rust ने सिस्टम प्रोग्रामिंग के लिए उम्मीदें क्यों बदलीं
Rust सहायक ऐप बनाएं
अपने Rust कंपोनेंट को React UI और चैट से जनरेट किए गए Go API के साथ एक कामकाजी ऐप में बदलें।
Rust ने ध्यान जीतकर नहीं लिया कि यह "एक बेहतर C++" है। इसने बातचीत बदली क्योंकि इसने आग्रह किया कि लो-लेवल कोड एक ही समय में तेज़, मेमोरी-सुरक्षित, और लागतों के बारे में स्पष्ट हो सकता है।
सुरक्षा + गति + स्पष्टता, साथ में
Rust से पहले, टीमें अक्सर मेमोरी बगों को प्रदर्शन के लिए चुकाने वाला टैक्स मानती थीं, फिर परीक्षण, कोड रिव्यू और घटना-उपचार पर निर्भर रहती थीं। Rust ने एक अलग दांव लगाया: सामान्य नियमों को (कौन डेटा का मालिक है, कौन उसे बदल सकता है, कब वह वैध रहना चाहिए) भाषा में एन्कोड करें ताकि बग की पूरी श्रेणियाँ कम्पाइल टाइम पर अस्वीकृत हों।
यह बदलाव मायने रखता है क्योंकि यह डेवलपर्स से "परफेक्ट" होने को नहीं कहता—यह उनसे स्पष्ट होने को कहता है, और फिर कम्पाइलर उस स्पष्टता को लागू करता है।
उद्योग संकेत (सावधानी से)
Rust का प्रभाव कई संकेतों में दिखाई देता है न कि एक बड़े हेडलाइन में: प्रदर्शन-संवेदनशील सॉफ़्टवेयर भेजने वाली कंपनियों से बढ़ती रुचि, विश्वविद्यालय पाठ्यक्रमों में उपस्थिति, और टूलिंग जो "रिसर्च प्रोजेक्ट" से "डे-टू-डे ड्राइवर" जैसी महसूस होती है (पैकेज प्रबंधन, फॉर्मैटिंग, लिंटिंग, और डॉक्यूमेंटेशन वर्कफ़्लो आउट-ऑफ-द-बॉक्स काम करते हैं)।
इसका मतलब यह नहीं कि Rust हमेशा सर्वश्रेष्ठ विकल्प है—पर इसका मतलब है कि डिफ़ॉल्ट रूप से सुरक्षा अब एक लग्जरी नहीं बल्कि एक यथार्थवादी अपेक्षा बन गई है।
Rust आमतौर पर किन जगहों पर विचार किया जाता है
Rust अक्सर इन चीज़ों के लिए परखा जाता है:
- CLI जो तेज़, पोर्टेबल और भरोसेमंद होना चाहिए\n- बैकएंड सर्विसेज जहाँ पूर्वानुमेय प्रदर्शन और कम मेमोरी-संबंधी घटनाएँ मायने रखती हैं\n- एंबेडेड और अन्य सीमित संसाधन वाले वातावरण जहाँ GC वांछनीय नहीं है\n- WebAssembly टार्गेट्स जहाँ प्रदर्शन और बाइनरी पर नियंत्रण महत्वपूर्ण है
"नया स्टैंडर्ड" का असल मतलब
"नया स्टैंडर्ड" का मतलब यह नहीं कि हर सिस्टम Rust में फिर से लिखा जाएगा। इसका मतलब यह है कि बार बदला: टीमें अब अधिक बार पूछती हैं, जब हम मेमोरी-unsafe डिफ़ॉल्ट्स स्वीकार कर ही क्यों रहें?" भले ही Rust अपनाया न भी हो, इसका मॉडल इकोसिस्टम को सुरक्षित APIs, स्पष्ट इनवेरिएंट, और करेक्टनेस के लिए बेहतर टूलिंग की ओर धकेल रहा है।
यदि आप ऐसे और इंजीनियरिंग बैकस्टोरीज़ चाहते हैं, तो ब्राउज़ करें /blog संबंधित पोस्ट्स के लिए।
मुख्य निष्कर्ष और आगे कहाँ सीखें
Rust की उत्पत्ति-कथा की एक साधारण धारा है: एक व्यक्ति का साइड प्रोजेक्ट (Graydon Hoare का नया भाषा प्रयोग) एक जिद्दी सिस्टम प्रोग्रामिंग समस्या से टकराया, और समाधान सख्त और व्यावहारिक दोनों निकला।
याद रखने के लिए बड़ा विचार
Rust ने एक व्यापार-बंद को फिर से ढाँचा दिया जिसे कई डेवलपर्स अपरिहार्य मानते थे:\n\n- आप मजबूत मेमोरी सुरक्षा गारंटियाँ बिना रनटाइम गारबेज कलेक्टर के हासिल कर सकते हैं।\n- आप सिस्टम-स्तरीय नियंत्रण और प्रदर्शन लक्ष्यों को बनाए रख सकते हैं, जबकि कम्पाइलर उन नियमों को लागू करे जो इंसान अक्सर चूक जाते हैं।
व्यावहारिक बदलाव सिर्फ़ "Rust सुरक्षित है" नहीं है। यह है कि सुरक्षा भाषा की डिफ़ॉल्ट संपत्ति हो सकती है, न कि कोड रिव्यू और टेस्टिंग द्वारा लागू होने वाला सर्वश्रेष्ट-प्रयास।
अगला कदम (बिना ज़्यादा प्रतिबद्ध हुए)
यदि आप जिज्ञासु हैं, तो बड़ा रिफ़ैक्टरिंग करने की ज़रूरत नहीं है—Rust का अनुभव जानने के लिए छोटा ही काफी है।
शुरू छोटा करें:\n\n- Ownership और borrowing की बुनियादी बातें इतनी अच्छी तरह सीखें कि आप Rust कोड पढ़ सकें बिना अनुमान लगाए।\n- एक छोटा प्रोजेक्ट बनाएं जहाँ अन्य भाषाओं में गलतियाँ आम हों: एक CLI टूल, एक साधारण पार्सर, या एक छोटा नेटवर्किंग क्लाइंट।\n- फिर फिट का मूल्यांकन करें: अगर आप प्रदर्शन-संवेदनशील, सुरक्षा-संवेदनशील, या समवर्ती कोड लिख रहे हैं तो Rust की पाबंदियाँ जल्दी ही अपना लाभ दिखा सकती हैं।
यदि आप कोमल पथ चाहते हैं तो एक "पतला स्लाइस" लक्ष्य चुनें—जैसे "एक फ़ाइल पढ़ो, बदलो, आउटपुट लिखो"—और स्पष्ट कोड पर ध्यान दें बजाय चतुर कोड के।
यदि आप किसी बड़े उत्पाद के भीतर एक Rust कॉम्पोनेंट प्रोटोटाइप कर रहे हैं, तो चारों ओर की त्वरित चीज़ें (एडमिन UI, डैशबोर्ड, कंट्रोल प्लेन, सरल APIs) तेज़ी से रखने पर यह मदद करता है, जबकि आप कोर सिस्टम लॉजिक को कड़ा रखते हैं। प्लेटफ़ॉर्म्स जैसे Koder.ai चैट-ड्रिवन वर्कफ़्लो के ज़रिये उस तरह की "ग्लू" डेवलपमेंट को तेज़ कर सकते हैं—React फ्रंटेंड, Go बैकएंड, और PostgreSQL स्कीमा तेजी से जनरेट करके स्रोत निर्यात करने और अपने Rust सर्विस के साथ साफ़ सीमाओं पर इंटीग्रेट करने में मदद मिलती है।
संक्षिप्त पढ़ने/देखने की सूची
- The Rust Programming Language ("the Rust Book"): /book/
- Rust by Example: /rust-by-example/
- प्रमुख टॉक्स/इंटरव्यू: खोजें Graydon Hoare Rust talk और Rust ownership borrow checker explanation ताकि प्रथम-व्यक्ति संदर्भ और सुलभ ओवरव्यू मिलें।
फॉलो-अप के लिए प्रश्न
यदि आप एक दूसरा पोस्ट चाहते हैं, तो क्या सबसे उपयोगी होगा?
- बोरो चेककर का सरल-भाषाई स्पष्टीकरण असली एरर्स और फिक्सेस के साथ\n- वास्तविक प्रोजेक्ट्स में "unsafe" का ज़िम्मेदार उपयोग कैसे होता है\n- C/C++ टीमों के लिए एक तुलना मार्गदर्शक जब वे एक सिंगल कॉम्पोनेंट के लिए Rust पर विचार कर रही हों
अपने संदर्भ (आप क्या बनाते हैं, अब कौन सी भाषा इस्तेमाल कर रहे हैं, और आप किस चीज़ का अनुकूलन कर रहे हैं) के साथ उत्तर दें, और मैं अगला अनुभाग उसी के अनुसार अनुकूलित कर दूँगा।
अक्सर पूछे जाने वाले प्रश्न
What does “systems programming” mean in this article?
सिस्टम प्रोग्रामिंग वह काम है जो हार्डवेयर के निकट और उत्पाद के जोखिम-सम्पर्क सतहों के पास होता है—जैसे ब्राउज़र इंजन, डेटाबेस, OS के घटक, नेटवर्किंग और एम्बेडेड सॉफ्टवेयर।
आम तौर पर इसमें आवश्यकताएँ होती हैं: पूर्वानुमेय प्रदर्शन, निम्न-स्तरीय मेमोरी/कंट्रोल, और उच्च विश्वसनीयता, जहाँ क्रैश और सुरक्षा बग बहुत महंगे होते हैं।
What does “memory safety without a garbage collector” actually mean?
इसका मतलब है कि Rust सामान्य मेमोरी बग (जैसे use-after-free और double-free) को रोकने का लक्ष्य रखता है, लेकिन यह एक रनटाइम गारबेज कलेक्टर पर निर्भर नहीं है।
गैबेज कलेक्टर की जगह Rust कई सुरक्षा जाँचों को कम्पाइल-टाइम पर ले आता है—स्वामित्व (ownership) और बोरिंग (borrowing) नियमों के माध्यम से।
Why did Rust need to be a new language instead of “better tools for C/C++”?
सैनिटाइज़र और स्टैटिक एनालाइज़र जैसे टूल बहुत कुछ पकड़ लेते हैं, पर जब भाषा स्वयं अनियंत्रित पॉइंटर और लाइफटाइम पैटर्न की इजाज़त देती है तो वे सामान्यतः पूर्ण रूप से मेमोरी सुरक्षा की गैर-गारंटी देते हैं।
Rust ने सुरक्षा के प्रमुख नियमों को भाषा और टाइप सिस्टम में पिरो दिया ताकि कम्पाइलर कुछ बग श्रेणियों को डिफ़ॉल्ट रूप से नाकार सके, और ज़रूरत पड़ने पर स्पष्ट 'एस्केप हैच' दे सके।
Why isn’t garbage collection always acceptable for systems code?
GC रनटाइम ओवरहेड ला सकता है और—कई सिस्टम वर्कलोड में—कम से कम सबसे खराब हाल की व्यवहार्यता (latency) के कारण अनपेक्षित विलंबता पैदा कर सकता है (जैसे पाज़ या कलेक्शन का काम)।
ब्राउज़र, रीयल-टाइम-नज़दीकी कंट्रोलर्स या लो-लेटेंसी सर्विसेज जैसे डोमेन में worst-case व्यवहार मायने रखता है। Rust का लक्ष्य सुरक्षा देते हुए अधिक पूर्वानुमेय प्रदर्शन बनाए रखना है।
What is Rust ownership, in plain language?
स्वामित्व (ownership) का सरल विचार यह है: हर मान का एक ही मालिक होता है जो तय करता है कि उसे कब साफ़ किया जाए।
जब मालिक स्कोप से बाहर चला जाता है तो मान स्वचालित रूप से साफ़ हो जाता है। इसका मतलब है कि cleanup अनुमाननीय है और दो जगहों से एक ही मेमोरी को फ़्री करने जैसी समस्याएँ रुकी जाती हैं।
What’s the difference between moving and copying in Rust, and why does it matter?
एक move किसी मान का स्वामित्व एक वैरिएबल से दूसरे में स्थानांतरित कर देता है; मूल वैरिएबल अब उस मान का उपयोग नहीं कर सकता।
यह अवांछित “दो मालिक एक ही आवंटन के” जैसी स्थिति से बचाता है, जो डबल-फ्री और use-after-free की जड़ अक्सर होती है।
How do borrowing and the “many readers or one writer” rule work?
बोरोइंग से कोड किसी मान का अस्थायी उपयोग रेफरेंस के माध्यम से कर सकता है बिना स्वामित्व लिए।
मुख्य नियम: कई पढ़ने वाले या एक लिखने वाला—आप एक ही समय में कई shared references (&T) रख सकते हैं, या एक mutable reference (&mut T), पर दोनों एक साथ नहीं। यह पढ़ते हुए किसी दूसरे हिस्से के द्वारा बदलाव होने से बचाता है।
What are lifetimes, and what does the borrow checker enforce?
लाइफटाइम उस अवधि को कहते हैं जब तक कोई रेफरेंस वैध है। Rust ज़रूरी मानता है कि रेफरेंस कभी भी उस डाटा से लंबा नहीं होना चाहिए जिस पर वह इशारा करता है।
बोरो चेककर कम्पाइल-टाइम पर इन नियमों को लागू करता है, इसलिए ऐसा कोड जो dangling रेफरेंस बना सकता है रन होने से पहले अस्वीकार कर दिया जाता है।
How does Rust help prevent data races in concurrent code?
डेटा रेस तब होती है जब कई थ्रेड एक ही मेमोरी को एक साथ ऐक्सेस करते हैं, कम से कम एक लेखन है, और कोई समन्वय नहीं है।
Rust का ownership/borrowing मॉडल concurrency तक फैला होता है, इसलिए असुरक्षित शेयरिंग पैटर्न safe कोड में व्यक्त करना कठिन (या असंभव) बनता है—आपको स्पष्ट समन्वय या मैसेज-पासिंग की ओर धकेला जाता है।
What’s the difference between safe Rust and unsafe Rust, and when would you use unsafe?
अधिकांश कोड "safe Rust" में लिखा जाता है, जहाँ कम्पाइलर मेमोरी-सुरक्षा के नियम लागू करता है।
unsafe एक स्पष्ट रूप से चिह्नित escape hatch है उन ऑपरेशन्स के लिए जिन्हें कम्पाइलर सामान्यतः सुरक्षित साबित नहीं कर सकता (जैसे कुछ FFI कॉल या लो-लेवल प्रिमिटिव)।
अच्छी प्रैक्टिस यह है कि unsafe ब्लॉक्स को छोटे और स्थानीय रखें, उन्हें एक सुरक्षित API में रैप करें, और समीक्षा/टेस्टिंग बढ़ाएँ ताकि जोखिम सीमित रहे।